权威DNS服务器也解决任何其他领域--这是一种风险吗？

Question

在我的组织(庞大的金融机构)中，有4ns服务器被ns DNS记录定义为我们所有公共网站的权威DNS服务器。但是，我发现那些DNS服务器如果被查询到任何其他域，也会发送响应。

我不知道这种行为是否有安全风险。参考资料也将不胜感激。

Answer 1

运行公共递归名称服务器会带来较小的安全风险。这些风险包括可能增加负载或被用作DNS放大攻击的一部分。

如果服务器是公共递归名称服务器，您的服务器上就会有额外的负载，因为人们最终会使用它们。非递归名称服务器将只使用DNS等效的0f“我没有答案”，如果人们尝试使用它而不是8.8.8.8作为他们定义的名称解析器。

此外，攻击者在作为放大攻击的一部分执行DNS查找时可以伪造from/client地址，然后该假地址将获得响应。攻击伪造大量请求和DDoS伪造的地址。在这里阅读更多关于它们的信息：https://www.us-cert.gov/ncas/alerts/TA13-088A

您的公共权威名称服务器只应响应关联区域的请求。

希望这能帮上忙。